IOCSCAN. Quét các dấu hiệu về sự xâm nhập (IOC)

Chạy tác vụ Quét các dấu hiệu về sự xâm nhập (IOC). Một Dấu hiệu về sự xâm nhập (IOC) là một tập hợp dữ liệu về một đối tượng hoặc hoạt động cho biết sự truy cập trái phép vào máy tính (xâm nhập dữ liệu). Ví dụ: nhiều nỗ lực đăng nhập không thành công vào hệ thống có thể cấu thành một Dấu hiệu về sự xâm nhập. Tác vụ Quét IOC cho phép tìm các Dấu hiệu về sự xâm nhập trên máy tính và thực hiện các biện pháp ứng phó với mối đe dọa.

Cú pháp lệnh

avp.com IOCSCAN <đường dẫn đầy đủ đến tập tin IOC>|/path=<đường dẫn đến thư mục tập tin IOC> [/process=on|off] [/hint=<đường dẫn đầy đủ đến tập tin thực thi của một tiến trình|đường dẫn tập tin đầy đủ>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<event publication date>] [/channels=<list of channels>] [/files=on|off] [/drives=<tất cả|hệ thống|quan trọng|tùy chỉnh>] [/excludes=<danh sách loại trừ>][/scope=<danh sách thư mục cần quét>]

IOC files

 

<đường dẫn đầy đủ đến tập tin IOC>

Đường dẫn đầy đủ đến tập tin IOC mà bạn muốn sử dụng để quét. Bạn có thể chỉ định nhiều tập tin IOC được phân tách bằng dấu cách. Đường dẫn đầy đủ đến tập tin IOC phải được nhập mà không có đối số /path.

Ví dụ: C:\Users\Admin\Desktop\IOC\file1.ioc

/path=<đường dẫn đến thư mục có tập tin IOC>

Đường dẫn đến thư mục có tập tin IOC mà bạn muốn sử dụng để quét. Tập tin IOC là các tập tin chứa các tập hợp dấu hiệu mà ứng dụng cố gắng đối chiếu để đếm một lần phát hiện. Các tập tin IOC phải tuân theo tiêu chuẩn OpenIOC.

Ví dụ: C:\Users\Admin\Desktop\IOC

Loại dữ liệu để quét IOC

 

/process=on|off

Phân tích dữ liệu tiến trình khi thực hiện quét IOC (từ ProcessItem).

Nếu giá trị của đối số là off thì Kaspersky Endpoint Security sẽ không phân tích các tiến trình đang chạy trên máy tính khi thực hiện quét. Nếu tập tin IOC chứa các từ IOC của tài liệu IOC ProcessItem, chúng sẽ bị bỏ qua (được phát hiện là không khớp).

Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích dữ liệu tiến trình nếu tài liệu IOC ProcessItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét.

/hint=<đường dẫn đầy đủ đến tập tin thực thi của tiến trình|đường dẫn đầy đủ của tập tin>

Phân tích dữ liệu tập tin khi thực hiện quét IOC (từ ProcessItem và FileItem).

Bạn có thể chọn một tập tin theo một trong những cách sau đây:

  • <đường dẫn đầy đủ đến tập tin thực thi của tiến trình> – từ ProcessItem;
  • <đường dẫn đầy đủ đến tập tin> – từ FileItem.

/registry=on|off

Phân tích dữ liệu registry của Windows khi thực hiện quét IOC (từ RegistryItem).

Nếu giá trị của đối số là off thì Kaspersky Endpoint Security sẽ không quét registry của Windows. Nếu tập tin IOC chứa các từ tài liệu IOC RegistryItem, chúng sẽ bị bỏ qua (được phát hiện là không khớp).

Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích registry của Windows nếu tài liệu IOC RegistryItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét.

Với loại dữ liệu RegistryItem, Kaspersky Endpoint Security sẽ quét một tập hợp các khóa registry.

/dnsentry=on|off

Phân tích dữ liệu về các bản ghi trong bộ đệm DNS cục bộ khi thực hiện quét IOC (từ DnsEntryItem ).

Nếu giá trị của đối số là off thì Kaspersky Endpoint Security sẽ không quét bộ đệm DNS cục bộ. Nếu tập tin IOC chứa các từ tài liệu IOC DnsEntryItem, chúng sẽ bị bỏ qua (được phát hiện là không khớp).

Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích bộ đệm DNS cục bộ nếu tài liệu IOC DnsEntryItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét.

/arpentry=on|off

Phân tích dữ liệu về các bản ghi trong bảng ARP khi thực hiện quét IOC (từ ArpEntryItem).

Nếu giá trị của đối số là off, Kaspersky Endpoint Security không quét bảng ARP. Nếu tập tin IOC chứa các từ tài liệu IOC ArpEntryItem, chúng sẽ bị bỏ qua (được phát hiện là không khớp).

Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích bảng ARP nếu tài liệu IOC ArpEntryItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét.

/ports=on|off

Phân tích dữ liệu về các cổng mở để nghe khi thực hiện quét IOC (từ PortItem).

Nếu giá trị của đối số là off, Kaspersky Endpoint Security không quét bảng các kết nối đang hoạt động trên thiết bị. Nếu tập tin IOC chứa các từ tài liệu PortItem, chúng sẽ bị bỏ qua (được phát hiện là không khớp).

Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích bảng các kết nối đang hoạt động nếu tài liệu IOC PortItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét.

/services=on|off

Phân tích dữ liệu về các dịch vụ được cài đặt trên thiết bị khi thực hiện quét IOC (từ ServiceItem).

Nếu giá trị của đối số là off, Kaspersky Endpoint Security không quét dữ liệu về các dịch vụ được cài đặt trên thiết bị. Nếu tập tin IOC chứa các từ tài liệu IOC ServiceItem, chúng sẽ bị bỏ qua (được phát hiện là không khớp).

Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích dữ liệu dịch vụ nếu tài liệu IOC ServiceItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét.

/system=on|off

Phân tích dữ liệu môi trường khi thực hiện quét IOC (từ SystemInfoItem).

Nếu giá trị của đối số là off, Kaspersky Endpoint Security không phân tích dữ liệu môi trường. Nếu tập tin IOC chứa các từ tài liệu IOC SystemInfoItem, chúng sẽ bị bỏ qua (được phát hiện là không khớp).

Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích dữ liệu môi trường nếu tài liệu IOC SystemInfoItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét.

/users=on|off

Phân tích dữ liệu về người dùng khi thực hiện quét IOC (từ UserItem).

Nếu giá trị của đối số là off, Kaspersky Endpoint Security không phân tích dữ liệu về người dùng được tạo trong hệ thống. Nếu tập tin IOC chứa các từ tài liệu IOC UserItem, chúng sẽ bị bỏ qua (được phát hiện là không khớp).

Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích dữ liệu về người dùng được tạo trong hệ thống nếu tài liệu IOC UserItem được mô tả trong tập tin IOC được cung cấp để quét.

/volumes=on|off

Phân tích dữ liệu về phân vùng khi thực hiện quét IOC (từ VolumeItem).

Nếu giá trị của đối số là off, Kaspersky Endpoint Security không quét dữ liệu về các phân vùng trên thiết bị. Nếu tập tin IOC chứa các thuật ngữ tài liệu IOC VolumeItem, chúng sẽ bị bỏ qua (được phát hiện là không khớp).

Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích dữ liệu phân vùng nếu tài liệu IOC VolumeItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét.

/eventlog=on|off

Phân tích dữ liệu về các bản ghi trong nhật ký sự kiện Windows khi thực hiện quét IOC (từ EventLogItem).

Nếu giá trị của đối số là off, Kaspersky Endpoint Security không quét các bản ghi trong nhật ký sự kiện Windows. Nếu tập tin IOC chứa các từ tài liệu IOC EventLogItem, chúng sẽ bị bỏ qua (được phát hiện là không khớp).

Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích nhật ký sự kiện Windows nếu tài liệu IOC EventLogItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét.

/datetime=<ngày phát hành sự kiện>

Hãy cân nhắc ngày phát hành sự kiện trong nhật ký sự kiện Windows khi xác định phạm vi quét IOC cho tài liệu IOC tương ứng.

Khi thực hiện quét IOC, Kaspersky Endpoint Security sẽ quét các mục nhật ký sự kiện Windows được phát hành trong khoảng thời gian từ ngày và giờ được chỉ định đến thời điểm tác vụ được chạy.

Kaspersky Endpoint Security cho phép chỉ định ngày phát hành sự kiện làm giá trị của đối số. Tác vụ quét chỉ được thực hiện cho các sự kiện được phát hành trong nhật ký sự kiện Windows sau ngày được chỉ định và trước khi tác vụ quét được chạy.

Nếu đối số không được chỉ định, Kaspersky Endpoint Security sẽ quét các sự kiện với bất kỳ ngày phát hành nào. Không thể chỉnh sửa thiết lập TaskSettings::BaseSettings::EventLogItem::datetime.

Thiết lập này chỉ được sử dụng nếu tài liệu IOC EventLogItem được mô tả trong tập tin IOC được cung cấp cho quá trình quét.

/channel=<danh sách kênh>

Danh sách tên kênh (nhật ký) mà bạn muốn thực hiện quét IOC.

Nếu đối số được chỉ định, Kaspersky Endpoint Security sẽ quét các bản ghi được phát hành trong các nhật ký được chỉ định. Tài liệu IOC phải có từ EventLogItem được mô tả.

Tên của nhật ký được chỉ định dưới dạng một chuỗi phù hợp với tên của nhật ký (kênh) được chỉ định trong các thuộc tính của nhật ký (tham số Tên đầy đủ) hoặc trong các thuộc tính sự kiện (tham số <Channel></Channel> trong lược đồ xml của sự kiện). Bạn có thể chỉ định nhiều kênh được phân tách bằng dấu cách.

Nếu đối số không được chỉ định, Kaspersky Endpoint Security sẽ quét các bản ghi cho các kênh Application, System, Security.

/files=on|off

Phân tích dữ liệu tập tin khi thực hiện quét IOC (từ FileItem).

Nếu giá trị của đối số là off, Kaspersky Endpoint Security không phân tích dữ liệu tập tin. Nếu tập tin IOC chứa các từ tài liệu FileItem, chúng sẽ bị bỏ qua (được phát hiện là không khớp).

Nếu đối số không được chỉ định, Kaspersky Endpoint Security chỉ phân tích dữ liệu tập tin nếu tài liệu IOC FileItem được mô tả trong tập tin IOC được cung cấp cho tác vụ quét.

/drives=<tất cả|hệ thống|quan trọng|tùy chỉnh>

Đặt phạm vi quét IOC khi phân tích dữ liệu cho tài liệu IOC FileItem.

Bạn có thể đặt các giá trị sau cho phạm vi quét:

  • <all> cho tất cả các phạm vi tập tin khả dụng.
  • <system> cho các tập tin trong thư mục nơi hệ điều hành được cài đặt.
  • <critical> cho các tập tin tạm thời trong thư mục người dùng và hệ thống.
  • <custom> cho các tập tin trong phạm vi do người dùng xác định (/scope=<danh sách thư mục cần quét>).

Nếu đối số không được chỉ định, tác vụ quét sẽ được thực hiện cho các khu vực quan trọng.

/excludes=<danh sách loại trừ>

Đặt phạm vi loại trừ khi phân tích dữ liệu cho tài liệu IOC FileItem. Bạn có thể chỉ định nhiều đường dẫn được phân tách bằng dấu cách.

/scope=<danh sách thư mục cần quét>

Phạm vi quét IOC do người dùng định nghĩa khi phân tích dữ liệu cho tài liệu IOC FileItem (/drives=custom). Bạn có thể chỉ định nhiều đường dẫn được phân tách bằng dấu cách.

Các giá trị trả về của lệnh:

Nếu lệnh được thực thi thành công (giá trị trả về 0) và các dấu hiệu về sự xâm phạm đã được phát hiện trong quá trình thực hiện, Kaspersky Endpoint Security xuất thông tin kết quả tác vụ sau đây cho dòng lệnh:

Uuid

ID của tập tin IOC trong tiêu đề của cấu trúc tập tin IOC (thẻ <ioc id="">)

Name

Mô tả tập tin IOC trong tiêu đề của cấu trúc tập tin IOC (thẻ <description></description>)

Matched Indicator Items

Danh sách ID của tất cả các dấu hiệu được đối chiếu.

Matched objects

Dữ liệu cho từng tài liệu IOC có một sự trùng khớp.

Về đầu trang